Datenschutzerklärung für Mitarbeitende nach dem revDSG

Wissen
Recht
Datenschutz und IT-Recht
Datenschutz umsetzen
Datenschutzerklärung für Mitarbeitende: Was ändert sich mit dem revidierten Datenschutzgesetz?

Auf dem Weg zur Konformität mit dem revidierten Datenschutzgesetz (revDSG) bildet die Aufdatierung von bestehenden oder der Entwurf von neuen Datenschutzerklärungen eine wichtige Aufgabe. Dabei liegt es meist auf der Hand, dass die datenschutzrechtliche Informationspflicht gegenüber Kunden oder Webseitenbesuchern erfüllt werden muss. In der Praxis geht die Datenschutzerklärung für Mitarbeitende jedoch oft vergessen, weil übersehen wird, dass auch Mitarbeitende betroffene Personen im Sinne des Datenschutzrechts sind.

29.08.2023 Von: Marco S. Meier, Anna Neukom Chaney

Passende Arbeitshilfen

docx

Muster Mitarbeiterinformation betreffend Datenschutz

CHF 50.00

docx

Muster Interne Datenschutzrichtlinie

CHF 100.00

zip

Download-Paket Datenschutz-Compliance

CHF 180.00

zip

Download-Paket Auskunftserteilung

CHF 70.00

zip

Download-Paket Datenschutz-Folgenabschätzung nach nDSG

CHF 70.00

zip

Download-Paket Meldung von Verletzungen der Datensicherheit

CHF 70.00

Mitarbeitende müssen über Datenbearbeitungen informiert werden

Mit dem Inkrafttreten des revDSG am 1. September 2023 wird das Datenschutzrecht in der Schweiz modernisiert. Dabei wird – nebst einigen anderen Pflichten – eine Informationspflicht eingeführt. Im Rahmen dieser sind die verantwortlichen Unternehmen verpflichtet, alle betroffenen Personen angemessen über die Beschaffung von Personendaten zu informieren. Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Auch im Arbeitsverhältnis werden ab der Anstellung bis zur Beendigung des Arbeitsverhältnisses Personendaten beschafft und Datenbearbeitungen vorgenommen, über welche mit dem Inkrafttreten des revDSG informiert werden muss.

Es ist etwa an Namen oder Kontaktdaten von Mitarbeitenden in Personaldossiers oder HR-Systemen sowie an andere Angaben, die es indirekt ermöglichen, Mitarbeitende zu identifizieren (z.B. die Mitarbeiternummer), zu denken. Bearbeitet wird auf alle möglichen Arten, ob bewusst und gewollt oder unbewusst und nebenbei; so zum Beispiel durch Erheben, Speichern, Löschen oder Zugriff auf Personendaten. Mit anderen Worten: Die Regeln des Datenschutzrechts gelten nicht nur im Verhältnis zu Kunden oder Webseitenbesuchern, sondern auch bei Bewerbern und im Arbeitsverhältnis selbst.

Beispiele von Datenbearbeitungen im Arbeitsverhältnis:

Datenschutz am Arbeitsplatz

Rechte und Pflichten im Umgang mit Mitarbeiter- und Bewerberdaten

Praxis-Seminar, 1 Tag, ZWB, Zürich

Nächster Termin: 07. November 2024

Rekrutierung
Personaladministration
Führung des Personaldossiers
Lohnbuchhaltung
Schulungsmanagement
Karriereentwicklung
Leistungsauswertung
Mitarbeiterüberwachung
etc.

Erfüllung der Informationspflicht mittels einer Datenschutzerklärung für Mitarbeitende

Zur Erfüllung der Informationspflicht des revDSG müssen Unternehmen ihre Mitarbeitenden über sämtliche Datenbearbeitungen im Bewerbungsprozess und während des Arbeitsverhältnisses informieren. Die Mitarbeitenden müssen vor der Bearbeitung der Personendaten mit denjenigen Informationen versorgt werden, die erforderlich sind, um ihre Rechte als betroffene Personen (z.B. das Recht auf Auskunft, Berichtigung oder Löschung) auszuüben. Zudem müssen die Informationen eine transparente Bearbeitung der Personendaten gewährleisten. Darüber hinaus müssen die Informationen präzise, verständlich und leicht zugänglich sein. Wie kann diese Informationspflicht pragmatisch und zugleich korrekt umgesetzt werden? In der Praxis bietet sich die Information der Mitarbeitenden über eine Datenschutzerklärung an. Diese kann z.B. im Intranet publiziert werden, sodass sichergestellt ist, dass die Mitarbeitenden über die Möglichkeit verfügen, diese einzusehen. Für neue Mitarbeitende bietet es sich an, die Datenschutzerklärung der Eintrittsdokumentation beizulegen oder im abgegebenen Personalreglement oder dem Arbeitsvertrag selbst auf die Datenschutzerklärung hinzuweisen.

Passende Produkt-Empfehlungen

Newsletter Datenschutz

Für Schweizer Unternehmen und Institutionen.

ab CHF 98.00

Datenschutz kompakt

Alles rund um den Datenschutz – Vorlagen, Checklisten und aktuelles Know-how.

ab CHF 148.00

Newsletter Arbeitsrecht

Die neuesten Gerichtsentscheide und Praxisfälle, verständlich kommentiert.

ab CHF 98.00

HR-Professional

Maximale Unterstützung bei Ihrer Personalarbeit dank HR-Fachwissen sowie über 1300 Arbeitshilfen.

ab CHF 290.00

Arbeitsrecht kompakt

Handbuch zur praxisorientierten Personalarbeit

ab CHF 88.00

Datenschutzerklärung muss vorgegebene Mindestinformationen enthalten

Zur Erfüllung der Informationspflicht schreibt das revDSG einen bestimmten Mindestinhalt an Informationen vor. Dabei handelt es sich um die Identität und die Kontaktdaten des Arbeitgebers, die Zwecke der Datenbearbeitungen sowie die Information zu den Empfängern bzw. Empfängerkategorien (inkl. dem Staat und der datenschutzrechtlichen Garantie bei Datenübermittlungen ins Ausland; z.B. bei zentralisiertem HR bei einer Gruppengesellschaft im Ausland). Werden Personendaten nicht direkt vom betroffenen Mitarbeitenden erhoben (z.B. Referenzen von ehemaligen Arbeitgebern), muss zusätzlich über die Kategorien der bearbeiteten Personendaten informiert werden.

Mindestinformationen in der Datenschutzerklärung für Mitarbeitende:

Identität und Kontaktdaten des Arbeitgebers
Bearbeitungszwecke (z.B. Führung des Personaldossiers)
sofern vorhanden: Empfänger der Personendaten inkl. Staat und datenschutzrechtliche Garantie bei Datenübermittlungen ins Ausland (z.B. zentrales HR im Ausland)
falls Daten bei Dritten erhoben werden (z.B. bei Referenzauskünften): Kategorien der bearbeiteten Personendaten

Ausnahmen von der Informationspflicht

Die Informationspflicht im revDSG gilt nicht absolut. Vorgesehen sind verschiedene Ausnahmen, bei deren Vorliegen die Pflicht zur Information der betroffenen Personen entfällt. Im Kontext der Information der Mitarbeitenden ist folgende Ausnahme besonders relevant: Die Informationspflicht entfällt, wenn die Bearbeitung gesetzlich vorgesehen ist. Dies betrifft beispielsweise die Bearbeitung im Rahmen der Abführung von Sozialversicherungsabgaben oder der Auszahlung des Lohns. Allerdings sind nicht alle Bearbeitungen, welche während des Arbeitsverhältnisses durchgeführt werden, von dieser Ausnahme erfasst. Zu denken ist etwa an die Auswertung von Leistungsdaten, die Mitarbeiterüberwachung oder die Datenübermittlung im Konzern. Folglich muss eine Datenschutzerklärung für die Mitarbeitenden ohnehin erstellt werden. Aus diesem Grund ist es üblich, alle Datenbearbeitungen in die Datenschutzerklärung aufzunehmen, auch wenn diese ggf. von der Ausnahme erfasst sein könnten.

Hohe Busse bei Verletzung der Informationspflicht

Das revDSG sieht für die vorsätzliche Verletzung der Informationspflicht eine Busse von bis zu CHF 250 000.– für die verantwortliche Person vor. Mit anderen Worten trifft die Busse nicht das Unternehmen, sondern diejenige Person im Unternehmen, welche für die Verletzung der Informationspflicht effektiv verantwortlich ist (z.B. Leitungspersonen oder Entscheidungsträger). Aufgrund der hohen Bussenandrohung ist es jedoch empfehlenswert, die Datenschutzerklärung nicht zu vergessen, sondern diese zu erstellen und den Mitarbeitenden zugänglich zu machen. Zeit dazu ist noch bis zum 1. September 2023.

Vorgehen beim Erstellen der Datenschutzerklärung für Mitarbeitende:

Sammeln der Informationen zu den Datenbearbeitungen (z.B. aus dem Verzeichnis über die Bearbeitungstätigkeiten)
Erstellen der Datenschutzerklärung basierend auf den gesammelten Informationen
Publikation der Datenschutzerklärung (z.B. im Intranet und bei Neueintritten in den Eintrittsdokumenten)
Periodische Prüfung der Datenschutzerklärung und ggf. Ergänzung

Seminar-Empfehlungen

Best Practice Schweizer Datenschutz

Neuste Praxis kennen und sicher umsetzen.

Live Webinar, ½ Tag, Online, Virtueller Seminarraum

Nächster Termin: 28. Mai 2024

Das Schweizer Datenschutzgesetz (DSG)

Neueste Entwicklungen und erforderliche Massnahmen.

Live Webinar, ½ Tag, Online, Virtueller Seminarraum

Nächster Termin: 22. August 2024

Workshop Datenschutz in der Praxis

Das Schweizer Datenschutzgesetz, die DSGVO, aktuelle Entwicklungen und deren Folgen.

Praxis-Workshop, 1 Tag, ZWB, Zürich

Nächster Termin: 27. Juni 2024

Datenschutz erfolgreich umsetzen

Schritt-für-Schritt-Anleitung für die Umsetzung der Datenschutz-Mindestanforderungen.

Praxis-Workshop, 1 Tag, ZWB, Zürich

Nächster Termin: 02. Juli 2024

Zertifizierter Lehrgang Datenschutz-Experte/in WEKA/SIB

Modularer Lehrgang, ZWB, Zürich

Nächster Termin: 02. Oktober 2024

Data Protection Officer (DPO) nach revidiertem DSG und DSGVO

Datenschutz-Anforderungen für Schweizer Unternehmen nach DSG und DSGVO (GDPR) erfolgreich umsetzen.

Praxis-Seminar, 1 Tag, ZWB, Zürich

Nächster Termin: 29. Oktober 2024

Datenschutzerklärung für Mitarbeitende: Was ändert sich mit dem revidierten Datenschutzgesetz?

Marco S. Meier

Anna Neukom Chaney, lic. iur.

Passende Arbeitshilfen

Mitarbeitende müssen über Datenbearbeitungen informiert werden

Datenschutz am Arbeitsplatz

Erfüllung der Informationspflicht mittels einer Datenschutzerklärung für Mitarbeitende

Passende Produkt-Empfehlungen

Datenschutzerklärung muss vorgegebene Mindestinformationen enthalten

Mindestinformationen in der Datenschutzerklärung für Mitarbeitende:

Ausnahmen von der Informationspflicht

Hohe Busse bei Verletzung der Informationspflicht

Vorgehen beim Erstellen der Datenschutzerklärung für Mitarbeitende:

Seminar-Empfehlungen

Weitere Beiträge zu diesem Thema

Das Bearbeitungsreglement gemäss revidiertem Datenschutzrecht

Handlungsbedarf für Schweizer Unternehmen in allen Bereichen

Was in einem ADV geregelt werden muss

Was müssen KMU beim Einsatz von ausländischen Dienstleistern beachten?

Privacy by Design und Privacy by Default

Informationspflichten des revDSG bei der Beschaffung von Mitarbeiterdaten